Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. PKI

Descripción general – Certificados digitales

Publicado porManimit Haldar 7 Minutos
Servicios de certificados de Active Directory
Tabla de contenido

Noticias

Infraestructura de clave pública (PKI) se basa en los principios de asimetría criptografíaLos mensajes se codifican con la clave pública del destinatario, quien los decodifica con su clave privada. Sin embargo, ¿cómo sabemos que la clave pública que usamos pertenece al destinatario? ¿Qué ocurre si la clave pública es falsa y pertenece a un impostor? certificado digital ayuda a establecer si una clave pública realmente pertenece al supuesto propietario.

Al igual que un certificado físico de identificación, como una licencia de conducir o un pasaporte, un certificado digital proporciona información sobre una persona junto con su clave pública y ayuda a cualquier otra persona a verificar su identidad. El certificado también contiene uno o más firmas digitales, que indican que la información contenida en el certificado ha sido atestiguada por alguna otra persona o entidad confiable, conocida como Autoridad certificadaCubriremos más sobre las autoridades de certificación en un artículo posterior.

Tipos de certificados digitales

Los principales tipos de certificados digitales que se utilizan hoy en día son:

  1. Certificados de servidor: Estos implementan el SSL/TLS (Capa de sockets seguros/Seguridad de la capa de transporte) Los estándares SSL se instalan en el servidor y son conocidos por haber impulsado el auge de las implementaciones de comercio electrónico al ayudar a proteger el canal de comunicación entre el cliente y el servidor. Los certificados SSL, a su vez, son de tres tipos:
    1. Certificados de validación de dominio (DV): TEstos solo verifican que el titular del certificado tiene derecho a usar el nombre de dominio; sin embargo, no certifican su identidad. Dado que solo implican una validación básica, son económicos y se pueden obtener al instante del proveedor del certificado. Los certificados DV se utilizan normalmente para sitios web y aplicaciones web básicos.
    2. Certificados de validación de la organización (OV): Estos proporcionan garantías adicionales sobre el titular del certificado e incluyen validaciones sobre la organización, la propiedad del dominio y si el solicitante está autorizado para solicitar el certificado. Los certificados OV son una buena opción para sitios web de comercio electrónico.
    3. Certificados de validación extendida (EV): Estos ofrecen los niveles más altos de cifrado y siguen un estricto proceso de autenticación antes de la emisión del certificado. Los certificados EV suelen ser utilizados por bancos e instituciones financieras, así como por aplicaciones de comercio electrónico.
  2. Certificados de organización: Estos suelen ser utilizados por entidades corporativas y ayudan a identificar a los empleados para transacciones web seguras y comunicaciones por correo electrónico.
  3. Certificados de cliente/personales: Se trata de "identificaciones digitales" que ayudan a verificar la identidad de una persona y a controlar su acceso a la información y los datos. En general, la autenticación basada en certificados es muy superior a un mecanismo tradicional de autenticación basado en ID de usuario y contraseña. Los certificados personales también pueden utilizarse para la firma de documentos. Estos certificados también son útiles en entornos B2B (empresa a empresa), por ejemplo, permitiendo a proveedores y socios acceder y actualizar información específica, como fechas de envío o disponibilidad de inventario.
  4. Certificados de firma de código: Estos certificados permiten firmar digitalmente software antes de su distribución, generalmente a través de internet, para su descarga. Estos certificados ayudan a los destinatarios que descargan e instalan software a verificar que el código proviene de una fuente auténtica y que no ha sido alterado, por ejemplo, mediante la inserción de malware, antes de llegar al destinatario.

El estándar X.509

La mayoría de los certificados digitales actuales se basan en el estándar X.509, definido por la Unión Internacional de Telecomunicaciones (UIT). X.509 especifica un formato de certificado con un conjunto estándar de campos, como se indica a continuación.

  • Número de versión: Identifica en qué versión del estándar X.509 se basa el certificado
  • Llave pública: Esta es la clave pública del titular del certificado.
  • Número de serie: Se trata de un número único para identificar el certificado y distinguirlo de otros certificados emitidos por la misma entidad.
  • Identificador único del titular del certificado: Esto también se conoce como Nombre Distinguido (DN) y su objetivo es identificar de forma única al titular del certificado en internet. El DN consta de campos como Nombre Común (CN), Correo Electrónico (Email), Unidad Organizativa (OU), Organización (O) y País (C).
  • Periodo de validez: Esto incluye la fecha y hora en que se emitió el certificado y la fecha y hora de vencimiento.
  • Nombre único del emisor: Este es el nombre único de la entidad que emitió el certificado, generalmente una Autoridad de Certificación (CA). Usar el certificado implica que confía en la CA que lo emitió.
  • Firma digital del emisor: Esta es la firma digital de la CA, generada utilizando la clave privada de la CA que puede verificarse a través de la clave pública de la CA.
  • Algoritmo de firma: Esto identifica el algoritmo utilizado por la CA para firmar el certificado. Un ejemplo de un algoritmo popular para firmar certificados es el Algoritmo Hash Seguro (SHA), con una longitud de hash de 256, también conocido como SHA256.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Conoce más

Extensiones de certificado

Se presenta la versión 3 del estándar X.509 extensiones de certificado, que puede utilizarse para proporcionar información adicional sobre el sujeto, además de la contenida en los campos estándar. Ejemplos de dicha información adicional incluyen nombres alternativos del sujeto o información sobre el uso del certificado, como la firma de un objeto digital. Las extensiones se clasifican como críticas y no críticas, lo que define cómo el destinatario procesará la información adicional.

Claves de certificado

Como se describió anteriormente en este artículo, la PKI se basa en criptografía asimétrica, que utiliza un par de claves pública-privada. Es importante destacar que este par de claves lo crea el solicitante y no la autoridad emisora, como una CA. Los solicitantes solicitan un certificado compartiendo su clave pública con la CA. Esta incluye esta clave pública en el certificado que emite al solicitante. Los titulares del certificado afirman su identidad demostrando que poseen la clave privada correspondiente a la clave pública del certificado.


Protección y gestión de claves

El aspecto más vulnerable de la PKI es la protección de las claves privadas. Si se vulneran las claves privadas, se compromete todo el sistema. Los sistemas operativos ofrecen algunas funciones básicas que pueden utilizarse para la protección de claves, como por ejemplo la API de protección de datos (DPAPI) de Windows. Sin embargo, para una mayor seguridad, una de las mejores prácticas es utilizar dispositivos de hardware dedicados, como Módulos de seguridad de hardware (HSM) y Módulos de plataforma confiable (TPM).

Estas soluciones de protección de claves basadas en hardware dedicado son una buena opción para grandes organizaciones que gestionan un gran número de claves. Sin embargo, para organizaciones más pequeñas, los HSM y los TPM pueden resultar costosos, por lo que alternativas como dispositivos virtuales y soluciones de gestión de claves en la nube podrían ser más adecuadas.

Tiendas de certificados

Un almacén de certificados es un repositorio que utiliza el titular del certificado para almacenar certificados digitales. Suele ser una ubicación especial en el sistema de archivos del sistema operativo. El sistema operativo Windows, por ejemplo, ofrece los siguientes tipos de almacenes de certificados:

  • Almacén de certificados de la máquina local: Esto es local para el equipo y global para todos los usuarios. Se encuentra en el registro del sistema, en HKEY_LOCAL_MACHINE. Algunos ejemplos son HKEY_LOCAL_MACHINE SOFTWARE Microsoft Certificados del sistema y HKEY_LOCAL_MACHINE SOFTWARE Microsoft Enterprise Certificados
  • Almacén de certificados de usuario actual: Esto es local para una cuenta de usuario en la computadora y se encuentra en el registro del sistema bajo HKEY_CURRENT_USER, un ejemplo es HKEY_CURRENT_USERSoftwareMicrosoftSistemaCertificados
  • Almacén de certificados CA raíz de confianza: Contiene los certificados raíz de todas las CA de confianza del sistema operativo Windows. Los administradores pueden modificar el conjunto predeterminado de CA de confianza e instalar manualmente el certificado raíz de su propia CA privada. CA.
  • Tienda de certificados de editores de confianza: Esto contiene información sobre firma de código Certificados de editores de confianza instalados en un equipo. Los administradores pueden modificar el conjunto predeterminado de editores de confianza e instalar manualmente certificados de firma de código en el almacén de certificados de editores de confianza.

Descubra nuestra

Blogs relacionados

Control de PKI

Mantener el control de PKI en un mundo donde la nube es lo primero

Marzo 4, 2026
NDES y SCEP

Explicación de NDES y SCEP: la columna vertebral de la inscripción automatizada de certificados

Marzo 2, 2026
Comprender la Política del programa raíz de Chrome v1.6 y sus implicaciones en 2026

Comprender la Política del programa raíz de Chrome v1.6 y sus implicaciones en 2026 

Febrero 5, 2026

Explore

Más temas